Hackers exploram falha crítica no plugin Burst Statistics e tomam controle de sites WordPress

Uma falha crítica de bypass de autenticação no plugin Burst Statistics — usado em mais de 200 mil sites WordPress — está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2026-8181, permite a invasores não autenticados se passarem por administradores e até criar contas admin maliciosas. A Wordfence já bloqueou mais de 7.400 ataques em apenas 24 horas.

O que é o Burst Statistics

O Burst Statistics é um plugin de analytics focado em privacidade, ativo em cerca de 200.000 sites WordPress, comercializado como uma alternativa leve ao Google Analytics. Por não enviar dados a servidores externos, ganhou tração em sites preocupados com LGPD e GDPR.

Detalhes da vulnerabilidade

A falha, rastreada como CVE-2026-8181, foi introduzida em 23 de abril de 2026 com o lançamento da versão 3.4.0 do plugin. O código vulnerável também esteve presente na iteração seguinte, a versão 3.4.1.

Segundo a Wordfence, que descobriu a brecha em 8 de maio, a falha permite que atacantes não autenticados se passem por administradores conhecidos durante requisições à REST API, e até criem contas de administrador clandestinas.

“Esta vulnerabilidade permite que atacantes não autenticados — que conheçam um nome de usuário administrador válido — se passem totalmente por esse administrador durante a duração de qualquer requisição à REST API, incluindo endpoints centrais do WordPress como /wp-json/wp/v2/users, fornecendo qualquer senha arbitrária e incorreta.” — Wordfence

O problema técnico, em essência, é que o código chama a função wp_set_current_user() usando o nome de usuário enviado pelo atacante, efetivamente personificando esse usuário durante toda a requisição — sem nunca validar a senha.

Como os invasores descobrem os usernames

Nomes de usuário de administradores frequentemente vazam em locais públicos de um site WordPress: assinaturas de posts, comentários, ou até em respostas da própria REST API. Quando não, os atacantes recorrem a técnicas de brute-force e username enumeration para descobrir o login antes de explorar a falha.

O que um invasor pode fazer com acesso admin

  • Acessar bancos de dados privados (incluindo dados de usuários e comentários)
  • Implantar backdoors persistentes (plugins maliciosos, modificação de tema, web shells)
  • Redirecionar visitantes para locais inseguros (campanhas de phishing, golpes)
  • Distribuir malware via injeção em páginas ou downloads
  • Criar usuários administradores fantasmas para reentrar mesmo após a correção
  • Roubar credenciais armazenadas (API keys, tokens de integração)

Exploração em massa já começou

Apesar do alerta da Wordfence — que afirmou esperar que “esta vulnerabilidade fosse alvo de atacantes” e classificou a atualização como “crítica” — o rastreador da empresa mostra que a atividade maliciosa já está em pleno andamento.

De acordo com a Wordfence, foram bloqueados mais de 7.400 ataques contra a CVE-2026-8181 nas últimas 24 horas — um volume que indica varredura automatizada em larga escala da internet em busca de instalações vulneráveis.

O que fazer agora

Usuários do plugin Burst Statistics devem atualizar imediatamente para a versão 3.4.2, lançada em 12 de maio de 2026 — ou, se a atualização não for possível, desabilitar o plugin enquanto investigam.

Estatísticas do WordPress.org mostram que o Burst Statistics teve cerca de 85.000 downloads desde o lançamento da versão 3.4.2. Mesmo assumindo que todos foram para a versão corrigida, restam aproximadamente 115.000 sites ainda expostos a ataques de takeover administrativo.

Análise: o padrão das falhas em plugins WordPress

A CVE-2026-8181 é mais um capítulo da história recorrente de falhas em plugins WordPress: boa intenção, implementação apressada de REST endpoints, e o pecado clássico de confiar em parâmetros enviados pelo cliente. Plugins de analytics e segurança são especialmente sensíveis porque costumam adicionar endpoints REST customizados com lógica de autenticação própria — onde uma única linha mal escrita derruba todo o modelo de permissões do WordPress.

Para administradores de sites WordPress, a recomendação geral vai além desta vulnerabilidade específica:

  • Mantenha plugins e temas atualizados automaticamente sempre que possível
  • Use uma WAF (Wordfence, Sucuri, Cloudflare) com regras de proteção em tempo real para plugins
  • Limite o acesso à REST API de /wp-json/wp/v2/users via firewall ou plugin de hardening
  • Não use nomes de usuário previsíveis como “admin” para contas administrativas
  • Habilite autenticação de dois fatores (2FA) em todas as contas de administrador
  • Monitore logs em busca de criação de novos usuários administradores

Fonte: BleepingComputer

TheNinja

Recent Posts

Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…

10 horas ago

CISA publica post-mortem de vazamento de chaves AWS GovCloud em GitHub pessoal de contratado

CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…

10 horas ago

Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…

10 horas ago

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…

14 horas ago

Grok 4.5 gasta 4,2x menos tokens que Opus 4.8 no SWE-Bench Pro: SpaceXAI aposta na eficiência para vencer no custo por tarefa

Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…

14 horas ago

Qualcomm compra Modular por US$ 3,9 bi para atacar o fosso do CUDA: MAX e Mojo entram na guerra por data centers

Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…

14 horas ago